L’Etat dispose aujourd’hui d’outils de contrôle dont les dictatures du XXe siècle n’auraient pas osé rêver. Comment les bibliothèques s’inscrivent-elles dans ce système ? Comment peuvent-elles protéger leurs utilisateurs, et pourquoi le doivent-elles ?
Who’s in control? Privacy, the Internet and libraries
16.08.2016, 09:30 – 12:45Hall E – Session 122 – Committee on Freedom of Access to Information and Freedom of Expression (FAIFE) (SI)Day by day issues of privacy and the internet are becoming more challenging for librarians as digital services in libraries continue to grow. This session focuses on a number of case studies concerning privacy, libraries and the internet, both those where we can influence the issues and those which have an impact but which are beyond our control. The case studies are followed by a panel discussion on the issues raised during the session, particularly focusing on questions from the audience.
Oui, c’est encore un billet concernant la conférence IFLA de l’année dernière, mais sur un sujet qui devient toujours plus d’actualité après chaque nouvelle loi sécuritaire. Bonne lecture !
Drain you
Hacking, Tracking, and Other Threats to Internet Privacy – David Greene, Electronic Frontier Foundation, United States
Premier point : le mot « hacking » n’est pas sale. Il a un versant positif : « bidouiller », démonter les choses pour comprendre comment elles fonctionnent pour pouvoir les modifier. Dans le cadre de cette présentation, on parle plutôt des activités illégales (intrusion, piratage actif) qui sont aussi désignées sous ce nom générique.
Quand le hacking est éthique, il sert à démontrer les failles de sécurité. Quand il ne l’est pas, il est criminel. Tout le monde est à risque : chaque semaine, on apprend le vol de données auprès de différents producteurs d’information : à l’époque, le dernier était une clinique de l’Ohio.
Les bibliothécaires doivent être sensibilisés à ces questions, connaître le vocabulaire et les concepts. Malware, R.A.T (Remote access trojan), sextortion… Ces risques liés à la criminalité sont des éléments de littératie numérique.
Mais les malware peuvent également être utilisés par les autorités pour l’espionnage d’individus, notamment compris des journalistes ou opposants. La prise de contrôle de votre webcam intégrée ou des mots de passe tapés sur votre clavier n’est pas de la science-fiction. Apple a dû lutter juridiquement contre l’injonction du FBI à cracker la sécurité de sa propre messagerie. Des gouvernements font appel régulièrement à des équipes de hackers. L’EFF elle-même a été attaquée par le passé.
Ces outils peuvent aussi être utilisés pour le travail normal de la justice, mais les cadres juridiques ne sont pas forcément adaptés partout. Et les abus existent, comme l’a montré l’affaire Playpen ou l’achat de failles 0-day concernant l’encryption d’Apple. Ces abus font au final échouer les poursuites judiciaires qui auraient été justifiées. Pire, les agences qui n’informent pas les éditeurs des vulnérabilités sont complices de futurs abus et nuisent à la protection de tous.
L’Etat et ses représentants n’ont pas de justification à utiliser de tels moyens contre des menaces insignifiantes. Le public doit au minimum être informé de l’étendue de leurs actions, et celles-ci doivent se restreindre autant que possible. Il faudrait également étudier les dommages collatéraux causés par la politique actuelle de ces services.
Plusieurs dizaines de trackers sur une seule page web. Les simples cookies déjà ennuyeux au tournant du siècle ont été remplacés par des outils de surveillance autrement plus envahissants. Mais les trackers ne concernent pas que la visite de sites web. Lisez l’article Wikipedia dédié à Silverpush pour comprendre l’étendue du problème.
Les publicités ciblées peuvent paraître pratiques, mais l’utilisation des données sur lesquelles elles se basent n’est pas limitée à elles. Des abus sont possibles, comme l’exemple déjà constaté de variations de prix en fonction du profil de l’utilisateur. C’est sans même évoquer les cas de malvertising : du hacking à travers des publicités ciblées.
Des lois de protection des données personnelles des consommateurs existent en Europe sur ce sujet, contrairement aux USA. Mais comment se protéger en pratique ? D’abord, désactiver Flash et installer Privacy Badger. Vous pouvez tester votre niveau de vulnérabilité en ligne.
Ok, c’était long, mais il y avait beaucoup de choses à dire pour comprendre l’étendue du problème. Au suivant !
Serve the Servants
Spies, Damn Spies, and Encryption – James LaRue, Office for Intellectual Freedom, American Library Association, United States
Une présentation sous forme de mind-map.
Premier point : les bibliothèques doivent avoir une vraie politique de protection de la vie privée de leurs utilisateurs. Collecter le moins de données personnelles possible, expliquer clairement aux usagers lesquelles le sont, combien de temps elles seront conservées, pour quel usage, et veiller à les traiter respectueusement.
Le problème, c’est que les bibliothèques s’orientent vers des solutions cloud, et perdent le contrôle de ces données. Où sont-elles stockées ? Qui y a accès ? L’historique de recherche par exemple est-il conservé ?
Il faudrait aussi rendre la récolte de donnée optionnelle par opt-in avec les explications appropriées plutôt qu’opt-out : l’historique de prêt individuel, par exemple, n’est absolument pas nécessaire au fonctionnement d’une bibliothèque.
Un exemple simple : une borne de prêt automatisée ne devrait pas par défaut afficher des informations personnelles quand un lecteur y pose sa carte : c’est l’occasion pour d’autres utilisateurs mal intentionnés d’apprendre des informations auxquelles ils ne devraient pas avoir accès.
Des audits de protection des données personnelles devraient être menés régulièrement dans toute institution. Au-delà de ça, il est surtout nécessaire de former les usagers à la protection de leurs données personnelles et vie privée. C’est un rôle que les bibliothécaires peuvent remplir.
Paper cuts
An Update from the RTBF Front Lines – Fred Von Lohmann, Copyright Legal Director, Google, United States
RTBF, ce n’est pas la Radio-Télévision Belge Francophone, mais bien le « right to be forgotten », ou droit à l’oubli en français. Qu’un responsable juridique de Google vienne nous en parler n’est pas vraiment une surprise vu les débats autour de son moteur de recherche en Europe.
En gros, la moitié des 500’000 demandes de retrait de résultats a été validée par Google. Comme ces chiffres datent de mi-2016, je suppose qu’ils ont largement augmenté depuis. Seules les références et requêtes contenant le nom de la personne sont supprimées, et seulement sur les moteurs « locaux » (ie : pas .com).
L’IFLA a énoncé des principes sur cette question en avril 2016. Mon avis : je comprends bien l’utilité de la chose, mais ne négligeons pas pour autant le droit à la mémoire concernant par exemple les personnalités publiques, politiques, etc.
Smells Like Teen Spirit
Practical privacy in your library: lessons from the Library Freedom Project – Alison Macrina, Library Freedom Project, United States
Je vous préviens tout de suite : je suis fan (et vous aurez peut-être noté que c’est la seule intervenante féminine dans un panel majoritairement masculin). Premier point notable : l’accroissement permanent de la surveillance met particulièrement en danger les groupes vulnérables.
Il est illégal d’informer que les agences de sécurité américaines ont saisi des données dans une bibliothèque ou mis ses postes de travail sous surveillance. Parmi les stratégies des bibliothécaires militants pour contourner cette interdiction, ces panneaux d’information par la négative sont assez intéressants 🙂
Note ironique au passage : entre Archive.org et les données de la NSA, les Etats-Unis se placent clairement en tête des question de préservation numérique. Faut-il s’en réjouir ? 😉
Les bibliothécaires doivent apprendre à connaître les outils pour lutter contre la surveillance : Macrina s’est ainsi engagée pour la mise en place de relais Tor dans des bibliothèques. Les bibliothécaires n’ont pas forcément toutes les compétences nécessaires, mais peuvent trouver de l’aide auprès de spécialistes tels que les groupes militants locaux.
Library Freedom Project propose des introductions à notre usage. N’oublions pas que la bibliothèque est souvent un lieu majeur d’apprentissage du numérique, et donc des questions de vie privée. Nous devrions nous engager pour fournir des formations dans ce domaine, d’autant qu’il y a clairement de la demande.
Installons au moins le navigateur Tor sur les ordinateurs de la bibliothèque. L’INSA de Rennes l’a fait, pourquoi pas nous ? Ce système ne devrait pas être réservé au monde du crime : c’est un outil qui aide à préserver la liberté intellectuelle et plus prosaïquement les droits des consommateurs. Participer à cette lutte fait partie de notre éthique, et les personnes extérieures à notre métier en sont consciente.
DHS fought to stop libraries from using privacy technology, but @LibraryFreedom beat them. Librarians are badass. https://t.co/5BzFywnJLn
— Edward Snowden (@Snowden) October 11, 2015
//platform.twitter.com/widgets.js
New Wave Polly
Purging user data to protect privacy: a small library’s outsized impact – Polly Thistlethwaite, CUNY Graduate Center, United States
Quand une bibliothécaire vous donne plusieurs exemples vécus d’abus policiers dans des bibliothèques, vous écoutez.
Vous souvenez-vous de l’affaire du Tueur du Zodiaque ? Ce tueur en série fan d’astrologie n’a jamais été identifié. Les messages qu’il envoyait pour revendiquer ses crimes avaient en revanche laissé entendre qu’il avait lu Aleister Crowley. Pas de chance pour un lecteur de bibliothèque qui en était également fan : une semaine de prison préventive alors qu’il ne correspondait en rien au portrait-robot du tueur. C’est une surinterprétation qui a eu des conséquences atroces.
Autre anecdote : une carte de la New York Public Library ayant été retrouvée sur les lieux d’un délit, un enquêteur est venu se présenter sans mandat pour demander d’en identifier le titulaire. Face au refus des bibliothécaires, il avise les bornes de prêt, glisse la carte… et récupère le nom du titulaire sur l’écran. Vous rappelez-vous de ce que disait James LaRue un peu plus haut à ce sujet ? Voilà pourquoi.
Bref. Ce n’était pas le point central de son intervention. Polly Thistlethwaite nous a surtout parlé des vertus de l’effacement des données du prêt entre bibliothèques pour protéger les utilisateurs. Pour elle, cela a nécessité 5 mois de travail. Le feedback des utilisateurs a été positif.
Il ne faut pas laisser la protection de la vie privée aux techniciens IT. Leurs valeurs ne sont pas les mêmes que celles des bibliothécaires. De même, faire confiance aux services clouds pour la protection ou la suppression des données est douteux. Quand des données sont « supprimées », sont-elles réellement effacées ? La vie privée est-elle vraiment une valeur du XXe siècle ? L’historique des prêts est-il vraiment essentiel pour nos utilisateurs ?
Talk to me
Rights to privacy and freedom of expression in public libraries: squaring the circle – David McMenemy, University of Strathclyde, United Kingdom
La liberté d’expression est soeur de la liberté de penser. La CEDH reconnaît le droit à la vie privée malgré le délire sécuritaire actuel. Nos valeurs sont résumées par l’accès libre à l’information. Celui-ci n’existe pas sans protection des utilisateurs.
David McMenemy venait nous parler de filtrage dans les bibliothèques écossaises. L’accès à un contenu « inapproprié » est subjectif, plus que celui à un contenu « illégal ». S’il y a filtrage dans une bibliothèque, les deux catégories doivent être clairement séparées. Un déblocage local doit être possible.
Un exemple-type : une personne qui s’interroge sur sa sexualité doit pouvoir trouver des réponses ou des sources d’information non-censurées. Elle n’a pas forcément les moyens de le faire dans le cadre familial ou scolaire, et la bibliothèque peut être un moyen de dernier recours.
Dans un autre domaine, les mesures contre la radicalisation au Royaume-Uni touchent également des contenus légaux sous prétexte qu’ils peuvent influencer les activistes.
Des bibliothèques peuvent-elles vous refuser leurs services parce que vous n’acceptez pas leur politique de transmission de données à des tiers ? Sommes-nous dignes de la confiance des utilisateurs quand nous adoptons des services cloud ?
Nos standards éthiques sur la liberté d’accès à l’information pour tous ne doivent pas seulement être des mots. Nous devons réellement les respecter et ne pas tomber dans une position hypocrite sous prétexte que c’est plus facile.
Plateau
Panel with short introduction on IFLA statement – Moderator: Martyn Wade (Chair of IFLA FAIFE Committee)
Il est important pour tous de bien comprendre que certaines préconceptions sont erronées. Utiliser Tor ou le cryptage de données en général ne fait pas de quelqu’un un criminel : parfois, c’est juste la seule manière de conserver son existence privée en ligne.
Nous devrions normaliser ces usages pour protéger ceux qui en font une utilisation légitime : une seule personne qui utilise Tor, c’est louche. Si c’est un parmi dix mille, elle ne pourra pas être inquiétée aussi facilement.
Il ne devrait pas être nécessaire de totalement se déconnecter pour se protéger. En tant que citoyens, nous devrions questionner et mettre de la pression sur les entreprises prédatrices en matière de données.
PS : de nombreuses références
Déclaration IFLA 2014 sur la vie privée dans le monde des bibliothèques.
Un article du LSE Impact Blog sur la fracture de protection numérique.
ALA guidelines for developing a library privacy policy.
EFF’s surveillance self-defense tips & tools. (Aussi en français)
Let’s encrypt – sécurisez les transmissions entre votre site web et le client.
American Civil Liberties Union (ACLU), une association qui se bat juridiquement pour préserver les droits aux USA
Article19.org ?
Libraries may have gotten the privacy thing all wrong
Billet de Silvae : vie privée et bibliothèques
Privacy and the young reader : pourquoi il ne faut pas donner au parent l’historique de lecteur de leurs enfants.
Il existe une solution Tor pour le partage de fichiers : la création d’un serveur caché temporaire en utilisant Onionshare.
La citation qui donne son titre à ce billet est de Joseph Heller, dans son roman « Catch-22« . Pour ma part, je l’ai découverte dans la chanson « Territorial pissings » de Nirvana, ce qui explique pourquoi tous les titres de section portent des titres de chansons de ce groupe. J’admets qu’ils sont plutôt tirés par les cheveux. Non, pas les miens.
L’image de couverture de ce billet est un panorama de l’Utah Data Center de la NSA publié sous licence CC0 (domaine public) par l’Electronic Frontier Foundation. 5 zeta-octets de données collectées sur nous tous.
Je profite de ce billet pour remercier Becky Yoose, une bibliothécaire américaine présente au congrès. Pendant toute la conférence, elle a tweeté des références et articles d’accompagnement pour les présentations en live – et généralement c’était pour celles que je suivais. Indispensable.